CVE-2025-61757 : Activité d’exploitation d’Oracle Identity Manager observée en septembre

Résumé

L’article détaille une faille de contournement d’authentification dans Oracle Identity Manager qui permet à des acteurs non authentifiés d’atteindre des URL arbitraires en ajoutant un suffixe « ;.wadl », permettant finalement l’exécution de code à distance. La vulnérabilité (CVE-2025-61757) a été observée en cours d’exploitation avant qu’Oracle ne publie un correctif. Les analystes ont enregistré plusieurs adresses IP de balayage émettant des requêtes POST avec une chaîne d’agent utilisateur distinctive. Des activités de suivi comprenaient également des sondages pour un autre bug Oracle (CVE-2025-4581) et des tentatives pour exploiter Log4j.

Investigation

L’analyse des journaux a révélé des requêtes POST répétées vers des points de terminaison Oracle Identity Manager se terminant par « ;.wadl » tout au long de la période de la fin août à début septembre 2025. Toutes ces requêtes partageaient une valeur d’agent utilisateur identique, pointant vers un scanner ou un kit d’outils commun. Chaque requête contenait une charge utile avec une longueur constante de 556 octets, bien que les corps eux-mêmes n’aient pas été stockés. La même source a également sondé des URL associées à d’autres vulnérabilités connues, élargissant la surface d’exploitation suspectée.

Atténuation de CVE-2025-61757

Oracle a traité CVE-2025-61757 dans sa mise à jour critique d’octobre délivrée le 2025-10-21. Les équipes de sécurité doivent déployer rapidement les derniers correctifs d’Oracle, appliquer une authentification forte sur tous les points de terminaison d’Oracle Identity Manager et surveiller activement les schémas de requêtes « ;.wadl » inhabituels. Les étapes de renforcement supplémentaires incluent le blocage de la chaîne d’agent utilisateur identifiée à la périphérie, la restriction des tailles de requêtes POST et le resserrement de l’exposition WADL et de la configuration connexe autant que possible.

Réponse

Configurez des détections pour signaler tout trafic HTTP incluant le suffixe « ;.wadl », en se concentrant sur les requêtes POST avec des charges utiles d’environ 556 octets. Corrélez ces événements avec l’empreinte d’agent utilisateur connue et les adresses IP d’origine. Confirmez que chaque instance Oracle Identity Manager dans l’environnement est mise à jour vers une version corrigée et vérifiez que les ressources « .wadl » ne sont pas directement accessibles depuis les réseaux non fiables.

Exécution de la simulation

Prérequis : Le contrôle pré-vol de télémétrie et de baseline doit avoir été passé.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

• Récit et commandes d’attaque :

  Un attaquant, ayant identifié une instance Oracle Identity Manager non corrigée, élabore une charge utile WADL malveillante qui exploite le CVE‑2025‑61757. La charge utile fait exactement 556 octets de long (comme requis par la preuve de concept) et est envoyée via HTTP POST à deux URI vulnérables connus. Pour éviter les heuristiques de détection triviales, l’attaquant imite une chaîne d’agent utilisateur de navigateur commun. La livraison réussie déclenche une désérialisation côté serveur, conduisant à l’exécution de code à distance.

• Script de test de régression :

  #!/usr/bin/env bash
  set -euo pipefail
  
  # Host cible (remplacer par l'adresse du serveur réel)
  TARGET="http://localhost"
  
  # Agent utilisateur de navigateur commun utilisé par la règle
  UA="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, comme Gecko) Chrome/60.0.3112.113 Safari/537.36"
  
  # Charge utile malveillante de 556 octets exacte (simulée avec des caractères "A" répétés)
  PAYLOAD=$(printf 'A%.0s' {1..556})
  
  # Points de terminaison vulnérables
  ENDPOINTS=(
    "/iam/governance/applicationmanagement/templates;.wadl"
    "/iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl"
  )
  
  for EP in "${ENDPOINTS[@]}"; do
    echo "[*] Envoi de l'exploit à $TARGET$EP"
    curl -s -o /dev/null -w "%{http_code}n" 
         -X POST "$TARGET$EP" 
         -H "User-Agent: $UA" 
         -H "Content-Type: application/xml" 
         -d "$PAYLOAD"
  done
  
  echo "[+] Tentatives d'exploitation terminées."

• Commandes de nettoyage :

  # Aucun changement persistant sur le serveur web pour cette PoC.
  # Supprimez tous les fichiers temporaires créés localement.
  rm -f /tmp/exploit_payload.tmp 2>/dev/null || true
  echo "[*] Nettoyage terminé."